Az ICS-CERT a tegnapi napon két ICS rendszerrel kapcsolatos sérülékenységről szóló bejelentést tett közzé.

Az első a Rockwell Automation MicroLogix 1100 PLC eszközét érinti, amiben David Atch, a CyberX munkatársa talált puffer-túlcsordulásos híbát. A hiba az alábbi kontroller-platformokat érinti:

- 1763-L16AWA, Series B, 15.000 korábbi verziók;
- 1763-L16BBB, Series B, 15.000 korábbi verziók;
- 1763-L16BWA, Series B, 15.000 korábbi verziók;
- 1763-L16DWD, Series B, 15.000 korábbi verziók;
- 1763-L16AWA, Series A, 15.000 korábbi verziók;
- 1763-L16BBB, Series A, 15.000 korábbi verziók;
- 1763-L16BWA, Series A, 15.000 korábbi verziók;
- 1763-L16DWD, Series A, 15.000 korábbi verziók.

A hiba sikeres kihasználásával egy támadó távolról tetszőleges kódfuttatásra lehet képes. A Rockwell Automation weboldalán elérhetővé tette a hibát javító firmware-verziót: http://compatibility.rockwellautomation.com/Pages/MultiProductDownload.aspx?famID=30

A firmware-frissítésen túl a gyártó további tanácsokkal is szolgál a sérülékenység hatásainak csökkentésére:

- Javasolt letiltani a MicroLogix 1100-as sorozatú eszközökben alapértelmezetten engedélyezett webszervert;
- A key switch-nek RUN értéket javasolt adni, hogy a letiltott webszervert az RSLogix 500-on keresztül ne lehessen újra engedélyezni;
- A gyártó javasolja az ügyfeleknek, hogy iratkozzanak fel a Security Advisory Index-szolgáltatásra, ami napra kész biztonsági információkat szolgáltat a Rockwell Automation termékekkel kapcsolatban.

Mindemellett az ICS-CERT is elismétli a szokásos biztonsági intézkedésekre vonatkozó tanácsait:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettl;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

A második bejelentés a MICROSYS PROMOTIC termékének 8.3.11-nél korábbi verzióit érintő memória-korrupciós sérülékenységéről szól, amit Praveen Darshanam, a Versa Networks munkatársa fedezett fel.

A MICROSYS egy cseh ICS/SCADA-fejlesztő cég, az érintett termék ICS/SCADA HMI szoftverfejlesztő csomag, amellyel technológiai folyamatok vezérlő, megjelenítő és felügyeleti alkalmazásait lehet fejleszteni. A PROMOTIC-ot elsősorban Csehországban és Szlovákiában, valamint jellemzően Közép- és Kelet-Európában (többek között Magyarországon is) használják.

A hiba kihasználásához felhasználói interakcióra van szükség, a támadónak el kell érnie, hogy egy felhasználó megnyisson egy kártékony HTML-állományt a sérülékeny szoftverrel.

A gyártó minden, sérülékeny verziójú PROMOTIC-ot használó ügyfelének azt javasolja, hogy telepítsék a legfrissebb, elérhető verziót, amelyben ezt a hibát már javították: http://www.promotic.eu/en/promotic/download/download.htm

A következő néhány posztban az ismertebb ICS/SCADA-fejlesztő cégeket fogom röviden bemutatni.

Yokogawa

A Yokogawa-t 1915-ben alapították Japánban és 1917-ben gyártótta az első elektromos mérőberendezéseit. A nemzetközi piacon 1957 óta vannak jelen, ekkor alapították az Észak-amerikai vállalatukat. Az 1960-as években kezdtek olyan különböző berendezéseket gyártani, amelyekkel az ipari szektor igényeinek széles spektrumát tudták lefedni. 1974-ben szingapúri és európai cégalapításokkal a világ egyre nagyobb részén rendelkeztek képviselettel, a következő évben pedig megjelent a CENTRUM nevű folyamatirányító rendszerük, amit a világ első DCS rendszereként tartanak számon. 1983-ban, a Hokushin Electric Works, Ltd-vel való egyesülés után a cég neve Yokogawa Hokushin Electric Corp. nevet vette fel.

Advantech

Az Advantech-et 1983-ban alapították, jelenleg a beágyazott rendszerek, ipari automatizálási rendszerek és orvos-egészségügyi rendszerek piacán jelen lévő taivani cégnek további 21 országban vannak kirendeltségei. Hálózati és telekommunikációs termékeket/szolgáltatásokat szintén nyújtanak ügyfeleiknek, termékeik az autóipartól a gyógyszergyártáson keresztül a teherszállító hajók vezérléséig számos területen megtalálhatóak, emellett egyre nagyobb hangsúlyt fektetnek a különböző intelligens rendszrekre, ilyen többek között a vasúti áramellátást percről-percre monitorozó megoldásuk.

Cogent

A Cogent-et 1995 májusában alapították Kanadában és az eltelt 20 évben DataHub néven egész middleware termékcsaládot építettek fel, ameyek interfészként működnek a különböző ICS rendszerek között. Emiatt a cég ügyelei között számos ismert ICS-fejlesztő vállalat jelenik meg, rajtuk kívül pénzügyi, vegyipari, egészségügyi és gyógyszeripari, valamint élelmiszeripari vállalatok is.

Schneider Electric (Modicon)

A Schneider Electric (korábban Modicon néven ismerték a céget, ezt a nevet egyes termékeiknél a mai napig megőrizték) a ICS rendszerek piacán az egyik legismertebb és legnagyobb múltra visszatekintő vállalat, amelynek központja Franciaországban, Párizsban van. Nevükhöz fűződik többek között a Modbus protokol kifejlesztése is. A közel 180 éves múltra visszatekintő cég napjainkban számos iparágnak kínál különböző ICS rendszereket, a teljesség igénye nélkül ezek közé tartoznak a villamosipar berendezések, épület-automatizálási megoldások valamint a különböző szenzorok és RFID-rendszerek.

Moxa

A Moxa tajvani vállalat, amely ipari hálózati, számítástechnikai és automatizálási megoldásokat gyárt és értékesít. Termékeik között egyebek mellett megtalálhatóak ipari Ethernet-eszközök, vezetéknélküli megoldások és média konverterek is, melyeket számos iparágban használnak okosrendszerek kialakítása során (szállítmányozás - smart rail, villamos-energia - smart grid, olaj és gázipar, bányászat, stb.). Termékeik között többek között számos konverter eszköz található, sok egyéb mellett üvegszálas és rezes, valamint soros és Ethernet eszközök közé illeszthető interfészek.

SMA Solar Technology AG

Az SMA Solar Technology AG egy német ICS gyártó, amely a napeneria-termelésben használt ICS-eszközök gyártására specializálódott. Az általuk gyártott eszközök jellemzően az elmúlt egy évtizedben Európában egyre inkább elterjedő, többnyire családi házakra szerelt napelemes (fotovoltalikus) berendezésekhez kapcsolódóan kerülnek üzembe helyezésre, leggyakrabban a 100 kW-tól néhány MW-ig terjedő teljesítményű házi erőműveket vezérelve.

Egyik leányvállalatukon (SMA Railway Technology) keresztül a szállítmányozási szektorban is jelen vannak.

A tegnapi napon a CAREL PlantVisor Enhanced termékével kapcsolatban jelent meg egy bejelentés az ICS-CERT weboldalán. Maxim Rupp, független biztonsági tanácsadó egy authentikáció megkerülését lehetővé tevő sérülékenységet fedezett fel.

A hibát távolról is ki lehet használni és bár jelenleg még nincs információ a hibát kihasználó exploit-ról, de figyelembe véve, hogy egy, ezt a hibát kihasználó exploit elkészítése nem igényel komoly technikai tudást, a sérülékeny szoftvert használók számára a kockázatok nem elhanyagolhatóak. Tovább rontja a helyzetet, hogy a gyártó az érintett PlantVisorEnhanced termékvonalat 2007 óta már nem fejleszti, így hibajavítás sem várható ezekhez. Helyett a CAREL a PlantVisorEnhanced utódjaként megjelent PlantVisorPRO termékre történő frissítést javasolja.

Az ICS-CERT azok számára, akik valamilyen oknál fogva kénytelenek továbbra is a sérülékeny verziót használni, a szokásos tanácsokat adja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettl;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

További részleteket az ICS-CERT bejelentése tartalmaz.

Január 18-án a SANS ICS Security blogjában megjelent Chris Sistrunk villamosenergia-átviteli és elosztó rendszerekkel kapcsolatos biztonsági sorozatának második része (az első részről itt írtam).

Ebben a részben Chris áttekinti a lehetséges támadási vektorokat, példákat mutat be a való életből és további olvasnivalóakat javasol az villamosenergia-rendszer alállomásainak témájában.

Az ICS-CERT tegnapi bejelentése szerint Aditya Sood, független biztonsági kutató XSS sérülékenységet talált a Siemens OZW672-es és 772-es típusú eszközeiben. A sérülékenység minden, v6.00 és korábbi verziójú szoftvert futtató eszközt érinti, a hiba kihasználásával egy támadó adatokat és beállításokat változtathat meg a sérülékeny eszközökön.

A Siemens mindkét terméktípushoz elérhetővé tette a hibát javító új firmware verziót. Azoknak a felhasználóknak, akik valamilyen ok miatt nem tudják frissíteni a firmware-t, az ICS-CERT az alábbi kompenzáló kontrollokat javasolja:

- Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettl;
- Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

Az elmúlt héten számos olyan cikk jelent meg, amelyek egy-egy, jellemzően a nemzeti kritikus infrastruktúrák közé sorolt iparág kiberbiztonsági helyzetét vizsgálja. A mai posztban ezekből a cikkekből fogok szemlézni.

Atomenergia-szektor

Több helyen jelent meg cikk azzal a Nuclear Threat Initiative (NTI) által 2013-ban készített és ez év elején aktualizált tanulmánnyal kapcsolatban, ami 47 országban üzemelő atomerőművek kiberbiztonsági állapotát mérte fel.

A felmérés szerint a nukleáris létesítmények informatikai hálózataiban történt kiberbiztonsági incidensek száma az átlagos (kormányzati szervezeteknél regisztrált incidensek) 9,7%-os emelkedésével szemben 18% növekedést mutatott. A vizsgált 47 országból 24 olyan volt, amelyekben akár atomfegyverekhez használható hasadóanyagot is elő lehet állítani, a másik 23 ország atomerőművei pedig csak békés célú felhasználásra alkalmas létesítmények.

A 2013-as vizsgált 47 országból mindössze 13 ország (köztük Magyarország is, ezúton szeretnék gratulálni a paski és csillebérci reaktorok környékén dolgozó biztonsági szakembereknek) ért el tökéletes eredményt, azonban 20 ország eredménye lett nulla pontos (köztük számomra meglepő módon Belgium, Olaszország, Szlovákia és Spanyolország is!). Ezek közül az országok közül az elmúlt két évben 8 jelentős javulást ért el a kiberbiztonság területén.

Villamosenergia-ipar

Szintén több, IT biztonsággal foglalkozó híroldal hozta le az ICS-CERT-nél dolgozó Marty Edwards S4 konferencián tartott előadásának összefoglalóját, amiben arról beszélt, hogy a kritikus infrastruktúráknál dolgozó informatikusok és vezetők nagyon gyakran kapcsolják össze az ICS hálózatokat a vállalati hálózatokkal, időnként az Internettel is, mert úgy gondolják, hogy ezzel üzleti/technológiai előnyökre tehetnek szert, azonban az ezzel járó kockázatokkal már nem foglalkoznak.

Kőolaj- és földgáz-szektor

Ugyancsak múlt heti a hír, hogy a Tripwire felmérése szerint jelentősen (82% felett) nőtt az olaj és gázipari cégek hálózataiban történt kiberbiztonsági incidensek száma. Ami igazán aggasztó a felmérésben, hogy a válaszadók 69%-a szerint a vállalatok nincsenek megfelelően felkészülve egy esetleges kibertámadás észlelésére (arra nem tér ki a felmérés, hogy akik észlelni tudják, azoknál vajon megvan-e a képesség az észlelt támadások elhárítására).

Egy másik érdekesség a felmérésben, hogy a válaszadók szerint az ICS hálózatok és a vállalati, Internet-kapcsolattal rendelkező hálózatok az esetek többségében nincsenek összekapcsolva egymással, így egy támadás során annak a kockázata, hogy a támadók képesek eljutni az ICS rendszerekig, meglehetősen kicsi (ez mondjuk az elmúlt évek során a legkülönbözőbb ICS biztonsági körökben általam hallottaknak ellentmond, én sokkal gyakrabban hallottam mostanáig azt, hogy különböző okok miatt, pl. jogszabályi, üzleti, technológiai okok miatt, bár nem akarták, mégis össze kellett kapcsolniuk az ICS és vállalati hálózatokat).

Most mondhatja bárki azt, hogy ezekben a cikkekben nincs semmi újdonság (vagy legalábbis nem sok) azok számára, akik figyelemmel követik az ICS biztonság témáját, de annyit biztos, hogy amint egyre többet fogunk tudni a Nyugat-ukrajnai áramkimaradás hátteréről, a különböző ICS rendszereket üzemeltető vállalatoknak újra kell értékelniük az ezekkel a rendszerekkel kapcsolatos kockázataikat. Ezt persze már a Stuxnet nyilvánosságra kerülése után is meg kellett volna tenni, de a kritikus infrastruktúrákat üzemeltetők, legyünk őszinték, nagyon kevés kivételtől eltekintve) elpazarolták az elmúlt 5 évet.

2016.01.14-én az ICS-CERT számos, az Advantech WebAccess 8.0 és azt megelőző verzióit érintő sérülékenységet hozott nyilvánosságra. Az Advantech érintett termékcsaládja egy webes ICS/SCADA rendszer HMI modullal.  A sérülékenységek meglehetősen széles skálán mozognak:

- Jogosulatlan memória-hozzáférés;
- Korlátozás és hitelesítés nélküli fájlfeltöltés;
- Jogosulatlan könyvtár-hozzáférés;
- Különböző stack- és heap-based puffer-túlcsordulások;
- Nem megfelelő hozzáférés-vezérlés;
- Nem megfelelő bevitt adat-ellenőrzés;
- Cross-site scripting;
- SQL injection;
- Cross-site request forgery;
- Bizalmas adatok olvasható szöveges formában tárolása;
- Távoli kódfuttatás böngészú plug-in alkalmazásával.

A gyártó a hibákat a WebAccess 8.1-es verzióban javította, ami elérhető a vállalat weboldalán keresztül. Az ICS-CERT a frissítés telepítése mellett tanácsokkal szolgál a sérülékenységek jelentette kockázatok csökkentése érdekében:

Minimálisra kell csökkenteni az ipari rendszerek/hálózatok kapcsolatát az Internettl;
Az ipari rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
Az ipari rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak!

Az ICS-CERT tanácsai sokaknak maguktól értetődőek lehetnek (legalábbis erősen remélem, hogy ezek a legtöbb informatikus számára nem jelentenek újdonságot), mégis az, hogy az ICS-CERT egy teljesen átlagos (bár az egy szoftverrel kapcsolatban bejelentett hibák száma ebben az esetben nem mindennapos) esetben ezeket az intézkedéseket javasolja, jól mutatja, hogy mlyen alapvető biztonsági problémák vannak nagyon sok ipari rendszerben/hálózatban.

A SANS ICS Security Blog-ját az ukrán áramszolgáltatók elleni kibertámadás kapcsán már hivatkoztam itt a blogon, múlt héten pénteken pedig  Chris Sistrunk tollából egy két részes blogbejegyzés első része jelent meg, ahol a villamosenergia-szektor elleni kibertámadásokkal foglalkoznak részletesen.

Chris a Mandiant tanácsadója, a kritikus infrastruktúrák kiberbiztonsági kérdéseire, elsősorban ICS/SCADA biztonságra specializálódott. Korábban 11 évig volt mérnök az Entergy-nél, azt megelőzően pedig átviteli és villamosenergia-elosztó rendszereket vezérlő ICS/SCADA rendszerek szakértőjeként dolgozott.

A blogbejegyzés első részében egy rövid villamosenergia-ipari történeti áttekintés után az alállomásokon használt eszközöket, azok védelmét, felügyeletét és vezérlését mutatja be, majd zárásként a Smart Grid-ről is hosszabban ír.

A blogbejegyzést ajánlom minden olyan IT biztonsággal foglalkozó szakember figyelmébe, akiket érdekel az ICS biztonság, de nagyon hasznos lehet az ICS/SCADA üzemeltetésben dolgozóknak is, mert az Ő aktív részvételük nélkül nem lehet hatékony védelmet biztosítani ezeknek a rendszereknek.

2013-ban az USA Szövetségi Energetikai Szabályozó Bizottsága (Federal Energy Regulatory Commission, FERC) egy tanulmányában arra a következtetésre jutott, hogy 9 alállomás elleni támadással az Egyesült Államok területének jelentős részén lehet áramkimaradásokat okozni.

Ebből a tanulmányból kiindulva, hasonlóan a Digital Pearl Harbor, illetve az annak nyomán Dr. Kovács Lajos alezredes és Dr. Krasznay Csaba által készített Digitális Mohács kutatásokhoz, az iSight kutatócsoportja azt vizsgálta, hogy egy kis terrorista csoport képes lenne-e csak publikusan elérhető információkra építve azonosítani a 9 kulcsfontosságú alállomást, amelyeket ezek után már érdemes (fizikai eszközökkel vagy a kibertéren keresztül vagy akár a kettő kombinálásával) támadni annak érdekében, hogy egy jelentős áramkimaradást idézzenek elő?

A kutatás során, aminek a Gridstrike nevet adták, publikusan elérhető adatokat kerestek az átviteli rendszer alállomásairól, térképeket, a Google Earth adatait és az átviteli hálózat túlterhelődéséről szóló dokumentációkat használtak fel és ezeket vetették össze a 10 legnagyobb amerikai várost kiszolgáló alállomások adataival. Végül képesek voltak beazonosítani 15 alállomást, amelyek az amerikai villamosenergia-rendszer gerincét alkotják - ezek kiiktatásával állításuk szerint országos áramszünetet lehetne előidézni.

A Gridstrike részleteiről a kutatók a Miami-ban holnap kezdődő S4x16 ICS biztonsági konferencián fognak beszámolni, részben ennek felvezetéseként nyilatkoztak a Darkreading.com kiberbiztonsági híroldalnak . Abban biztos vagyok, hogy ennek a kutatásnak még komoly visszhangja lesz, ha máshol nem is, de az ICS kiberbiztonsággal foglalkozó szakemberek között biztosan - különösen most, hogy alig több, mint két hete minden szakmabelit a karácsony előtti, ukrajnai áramszünet kiberbiztonsági kérdései és az incidens lehetséges utóélete foglalkoztat.

A SANS ICS blogján a szervezet szakterület igazgatójának írása foglalja össze a legújabb fejleményeket a 2015. december 23-i, ukrán áramszolgáltatók elleni kibertámadással kapcsolatos vizsgálatról. A SANS vizsgálatát az érintett áramszolgáltatóktól kapott információk is segítik, ezek alapján egyre nagyobb biztonsággal állítják, hogy a támadás egy jól szervezett, szándékosan előidézett incidens volt (az ICS rendszerek esetén egyáltalán nem számít ritkának a véletlenül előidézett incidens, de ebben az esetben a vizsgálat során eddig gyűjtött információk egyértelműen a szándékosságot támasztják alá).

A támadók nem csak magas szintű szervezési és koordinációs képességekkel rendelkeztek, de képesek voltak malware-ekkel és feltételezhetően közvetlen távoli hozzáféréssel lehetetlenné tenni, hogy a megtámadott áramszolgáltatók diszpécserei irányításuk alatt tudják tartani a villamosenergia-rendszert. Az áramszolgáltatóktól származó információk alapján egyre pontosabban lehet látni a támadások idővonalát. Ezek alapján a Kyivoblenergo rendszerében 2015 december 23-án 15:35 és 16:30 között hajtottak végre sikeres támadást a 35-110 kV-os rendszert vezérlő alállomási SCADA-rendszer ellen. Miután előidézték az áramszünetet, a KillDisk modullal használhatatlanná tették a vezérlő rendszert, ezzel is tovább növelve a támadás utáni helyreálláshoz szükséges időt és növelve az áramszünet időtartamát - a Kyivoblenergo munkatársai elismerésre méltó gyorsasággal váltottak manuális vezérlésre, de az áramszolgáltatás ennek ellenére csak helyi idő szerint 18:56-ra állt helyre mindenhol. A számítógépes rendszerek elleni támadással egyidőben DDoS-támadást indítottak az áramszolgáltatók weboldalai és call centerei ellen, így nehezítve az ügyfelek számára a hibabejelentéseket és megosztva a támadás elhárításán dolgozó szakemberek figyelmét.

További részletek a SANS ICS blogján olvashatóak.